LifeLabs遭黑客竊取病人資料,並支付贖金,令公眾嘩然。本報資料圖片
近幾年,個人資料外泄事件頻發,包括近日發生的加國醫療化驗公司LifeLabs遭黑客入侵事件, 引發公眾對資訊安全的關注,更有溫哥華律師擬代表受影響的民眾發起集體訴訟,控告LifeLabs(詳另文)。有數據安全專家呼籲,處理敏感資訊的公司有必要採用更先進的資安技術,並在公司系統設計時,把私隱保護的重要性放在第一位。
數據管理平台PHEMI System技術總監莫理森(Scott Morrison)表示,個人資訊外泄令民眾個人身份和信息被濫用或盜用,也帶來不小的金錢損失。這一問題近幾年不斷增加,是跨國、跨領域的普遍現象,多涉及零售業、金融業,及醫療業等。以LifeLabs事件為例,被盜的信息就關係著客戶最敏感的健康、身份資訊,信息的泄露也令受影響的民眾感到恐慌。
應該採用多重驗證技術
他認為,這些個案都在提醒處理敏感資訊的公司,加強私隱保護的重要性,包括藉助資安科技,提高對用戶賬號的保護。他強調,從個人角度來看,每間公司都應該儘可能採用多重要素驗證(Multi-factor authentication,簡稱MFA)技術,也就是多因素驗證,是一種電腦存取控制的方法,用戶要通過兩種以上的認證機制後,才得到授權,使用電腦資源。這種方式可以有效提高安全性,也是保護用戶賬號信息最直接有用的辦法之一,但他稱:「很可惜,並非每個公司都引入了這些手段。」
莫理森說:「這是個令人難過的現實,很多機構在處理這些敏感資訊時都沒有足夠的保護措施,沒有採用更先進的安全系統。其實簡單的資訊科技(IT)技術更新,就能夠達到更好效果。」
莫理森
他亦鼓勵這些公司,遵照基本資訊安全原則來處理和保管用戶信息,可有效防範資訊泄露的可能。
譬如常見的「最小特權原則」(Principle of Least Privilege,簡稱POLP) ,即把員工進入系統權限,限制到基本水平,但仍能保證正常運作、滿足工作需求的做法。 在這種情況下,一旦有員工個人賬戶被盜或遭黑客攻擊,也不會有大範圍的損失,同時也避免內部人員引發出資安事件。他舉例稱,魁省金融機構德信集團(Desjardins Group) ,今年6月份就發生內部員工在下載客戶資訊時,出現外泄資料就是很好的例子。
他並指出,許多公司的服務系統設計也沒有將個人私隱安全作為首要考量。他建議多採納「私隱始於設計」 (Privacy by Design) 的架構,在最初階段就對隱私及資料保護問題進行預測及處理,在基礎架構的各層嵌入私隱控制,並延伸到企業所使用的應用程序中。
本報記者倪怡婧報道
